CÁC PHƯƠNG THỨC XÁC THỰC 2 YẾU TỐ (2FA) PHỔ BIẾN NHẤT HIỆN NAY

Hiện nay, SMS OTP, Hard OTP, Soft OTP, nhận diện sinh trắc học (biometrics) là 04 yếu tố xác thực thứ hai phổ biến nhất.Theo báo cáo của Liên minh FIDO năm 2017, 21% doanh nghiệp đã sử dụng soft OTP và SMS OTP, 16% sử dụng hard OTP, 16% doanh nghiệp sử dụng xác thực bằng dấu vân tay.

Digibank CMS- Sample image floating


Xác thực 2 yếu tố, hay còn được viết tắt là 2FA (Two-factor authentication), là phương thức xác thực người dùng bằng cách bổ sung thêm một bước vào thủ tục đăng nhập của người dùng. Thay vì chỉ nhập username và password (Single-factor authentication), người dùng xác thực thêm yếu tố thứ hai để tăng thêm mức độ bảo mật thông tin, dữ liệu, tài khoản người dùng cũng như sự an toàn của hệ thống của nhà cung cấp dịch vụ.

Xác thực 2 yếu tố thường được đảm bảo dựa trên hai trong các yếu tố sau: 

  • Yếu tố xác thực thứ nhất: Cái mà người dùng biết (what you know) ví dụ như username và password

  • Yếu tố xác thực thứ hai: 

    • cái mà người dùng sở hữu (what you have) như điện thoại, thẻ ATM, hard token,...

    • xác nhận bạn là ai (who you are) bằng nhận diện sinh trắc học dựa trên xác thực vân tay, giọng nói, mống mắt,...

Hiện nay, SMS OTP, Hard token, Soft OTP, nhận diện sinh trắc học là 04 yếu tố xác thực thứ hai phổ biến nhất theo báo cáo của Liên minh FIDO năm 2017.

Digibank CMS- Sample image floating

SMS OTP - What you have

SMS OTP là loại mật khẩu dùng một lần được nhà cung cấp dịch vụ như tổ chức tài chính, công ty chứng khoán,... gửi tin nhắn đến số điện thoại của bạn để xác nhận đăng ký/đăng nhập/giao dịch…

SMS OTP là yếu tố xác thực thứ hai phổ biến nhất hiện nay, dễ dàng thiết lập đối với nhà cung cấp dịch vụ và tiện lợi cho người dùng, không cần phải cài đặt hay mua thêm thiết bị nào.

Tuy nhiên, yếu tố bảo mật thứ hai này lại tồn tại vấn đề do lỗ hổng bảo mật đến từ hệ thống viễn thông, National Institute of Standards and Technology (NIST) - Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ đã phản đối việc dùng SMS OTP trong phương thức 2FA trong xuất bản đặc biệt số 800-63-3: NIST cho rằng SMS OTP rất dễ bị tấn công do lỗ hổng Signaling System 7.

Ở Việt Nam, trước khi có Quyết định 630/QĐ-NHNN của Ngân hàng Nhà nước, tất cả các giao dịch tài chính online khi thực hiện đều phải xác thực SMS OTP trên điện thoại có SIM đã đăng ký từ trước. Tuy nhiên, khi mà điện thoại vừa có thể thực hiện thao tác giao dịch, thanh toán và vừa nhận được tin nhắn SMS OTP thì lại dẫn tới vấn đề Single Point of Failure (điểm yếu của toàn hệ thống). Ngoài ra, còn phải kể đến các bất cập và khó khăn khác khi sử dụng SMS OTP như: khi xuất ngoại, sóng điện thoại kém, tiêu tốn rất nhiều chi phí gửi SMS cho khách hàng,...

Tuy nhiên, đối với việc đăng nhập vào tài khoản doanh nghiệp, nội bộ công ty, giao dịch nhỏ không quá rủi ro, SMS OTP vẫn được sử dụng bởi sự tiện lợi và phổ biến của nó.

Hard OTP - What you have

Hard OTP là phương thức sử dụng thiết bị vật lý cung cấp OTP cho người dùng, có hai dạng hard token: loại cơ bản và loại nâng cao.

Hard token là thiết bị nhỏ gọn, dễ dàng mang đi, cách sử dụng dễ dàng, tính bảo mật rất cao. Song, hard token có giá thành từ 200.000 đồng đến 800.000 đồng tùy loại, khá đắt cho một thiết bị chỉ để cấp mã OTP đối với hầu hết người dùng phổ thông. Hơn nữa, là thiết bị cung cấp OTP vật lý, hard token hoạt động bằng pin nên sau khoảng thời gian trung bình là 03 năm, khi hết pin, người dùng buộc phải đến lại nhà cung cấp làm thủ tục để được thay thế thiết bị mới.

Digibank CMS- Sample image floating
Digibank CMS- Sample image floating

Soft OTP - What you have

Soft OTP. yếu tố xác thực ưu việt, giải quyết được điểm yếu của hai yếu tố trên, là phương thức xác thực tích hợp với ứng dụng của Ngân hàng để sinh ra OTP. Có hai loại soft OTP là loại cơ bản và loại nâng cao. 

Đối với loại xác thực cơ bản, mã OTP sẽ được sinh ra ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực tuyến tại ngân hàng.

Với loại Soft OTP nâng cao, mã OTP được tạo ra và kết hợp với mã xác nhận từ hệ thống thanh toán trực tuyến của ngân hàng. Người dùng phải nhập mã giao dịch vào Soft OTP để phần mềm tạo ra mã OTP cho giao dịch giá trị lớn.

Soft OTP đã khắc phục các yếu điểm của SMS OTP, bảo mật cao hơn nhiều, đồng thời vẫn đảm bảo sự tiện dụng, nhanh chóng khi nó được tích hợp với ứng dụng trong smartphone. Xem thêm về Soft OTP bài viết tiếp theo đăng tải trên digibank.vn.

Digibank text and image block
Digibank CMS- Sample image floating

Who you are - Biometrics

Nhận diện sinh trắc học xác nhận người dùng bằng cách quét vân tay, mống mắt, nhận diện khuôn mặt, giọng nói, tĩnh mạch lòng bàn tay,.... Nguyên lý hoạt động của nhận diện sinh trắc học là: khi người dùng thiết lập, mẫu sinh trắc học người dùng cung cấp sẽ được số hóa và thông tin đó được lưu trữ ở dạng chỉ đọc trên thiết bị để ngăn dữ liệu bị chỉnh sửa hay bị thao túng.

Nhận diện sinh trắc học là công nghệ mới và là xu hướng hiện nay, đảm bảo xác thực chính xác người dùng dựa trên những đặc điểm chỉ cá nhân người dùng có, nhằm bảo mật tối đa đối với các lĩnh vực quan trọng như xác thực giao dịch ngân hàng, đăng nhập tài khoản của chính phủ,... Yếu tố sinh trắc học luôn luôn "đi kèm" với người dùng mà không cần phải ghi nhớ, thao tác xác thực nhanh chóng. Yếu tố xác thực này cần phải có thiết bị phần cứng kết hợp cùng thuật toán công nghệ cao để nhận diện được yếu tố sinh trắc học của con người. Hiện nay, nhận diện sinh trắc học vẫn đang được tập trung nghiên cứu, phát triển và hoàn thiện để đảm bảo xác nhận chính xác người dùng, đồng thời dễ dàng phát hiện ra các yếu tố giả mạo, cố tình đánh lừa hệ thống.


Phương thức nào phù hợp cho doanh nghiệp?

Đối với các trường hợp thực tế khác nhau, tùy đặc điểm cụ thể và yêu cầu bảo mật mà các yếu tố này được lựa chọn sử dụng để đáp ứng yêu cầu bảo mật thông tin tương ứng. Dễ thấy, vấn đề về bảo mật, xác thực người dùng là cực kỳ quan trọng và có ảnh hưởng lớn đến nhiều mặt của toàn thế giới nói chung cũng như Việt Nam nói riêng vậy nên áp dụng phương thức xác thực hai yếu tố hiện là giải pháp hiệu quả cho vấn đề này.

Vì mức độ bảo mật của phương thức xác thực dựa trên công nghệ kỹ thuật được sử dụng, loại yếu tố được lựa chọn triển khai và số lượng yếu tố xác thực được thiết lập cho một thao tác đăng nhập/giao dịch; các doanh nghiệp, tập đoàn, ngân hàng,... nên cần phải cân nhắc và cần phải sáng suốt khi lựa chọn công nghệ xác thực 2 yếu tố thích hợp, để đảm bảo mỗi yếu tố xác thực được chọn đều phát huy tối đa được sức mạnh của nó.

 

Tham khảo:

1. Technology Risk Management Guidelines of the Monetary Authority of Singapore

2. NIST explains proposed ban on SMS for 2FA